从基础知识开始 全面认识计算机病毒

互联网 | 编辑: 黄蔚 2007-06-13 09:30:00转载 一键看全文

计算机病毒驻留方式

4.1 内存驻留方式

病毒在内存中驻留的关键是选择存储空间,因而有以下几种内存驻留方式:

● 减少DOS系统可分配空间

● 利用系统的间隙

● 利用功能调用驻能

● 利用系统程序的使用空间

4.2 磁盘存储方式

要防治计算机病毒,就必须了解病毒在磁盘上可能的存储方式,一般情况下,计算机病毒存储在磁盘中的前提条件是病毒能够被系统复制载入内存,并且在条件成熟时,可获得对系统的控制权,目前较为流行的方式有文件驻入式和直接存取两种。

● 文件驻入式

● 直接存取扇区

5 计算机病毒传染原理

5.1 计算机病毒的传染过程分析

这里从Boot区传染病毒为例讨论计算机病毒在计算机系统完成一次传染的全过程、系统正常如下:

(1)开机后、由Boot时系统的基本设备进行检测;

(2)读入系统的逻辑第0扇区(即BOOT区)到内存的0000:7C00处;

(3)开始Boot(引导);

(4)判断A盘是否为系统盘、如果该盘不是系统盘、则提示:non_system disk or disk error, Replace and strike any key when ready;否则读入Bios并转达入Bios;

(5)然后系统正常运行。

如系统绕带有病毒在执行过程中,首先读入是病毒程序的代码:

(1)将BOOT区中病毒的代码(或部分)读入内存的0000:7C00处;

(2)病毒将自身完整化,并将自身完整的病毒程序举向内存xxxx:xxxx地址,如:小球病毒将自身举向内存的97C0:7C00处;

(3)修改中断向量INT 13H 的向量入口,使之指向病毒的控制的摸块从而病毒程序得到控制权;

(4)读入正常的BOOT区内容列内存的0000:7C00处进行正常的启动过程;

(5)此时病毒获得控制权并监视系统的运行。

如在运行中,有受攻击的对象,病毒进行如下操作:

(1)读入目标的逻辑第0扇区(对于软盘);

(2)判断是否传染;

(3)如果满足传染条件,则将病毒的全部或部分写入Boot区将病毒的部分代码及正常的Boot引导程序或者仅正常的Boot引导程序写入磁盘的特定位置;

(4)对于这一特定的存储空间,或以坏簇标志FF7、或不标;

(5)返回病毒程序、由病毒程序引入正常的INT 13H中断程序,此时这段病毒程序已完成了对目标盘的传染过程,目标盘中就含有了这种病毒的一个自身复制品,上面的1,2两个步骤完成了这种病毒的“繁殖”过程,已经驻入内存中的病毒仍然监视系统的运行。

针对可执行文件传染的病毒,其传染原理与对Boot区传染的病毒原理一样,只是病毒是在被传染的文件执行的病毒驻入内存,其驻入内存的过程如下:

(1)运行HZG.com;

(2)系统对这一文件进行读操作;

(3)由于病毒在文件的首部,因而可直接执行病毒程序X;

(4)X读入内存并完成自身的完整化;

(5)获得中断向量并使之转向病毒程序;

(6)病毒获得对系统的控制权,并监视系统运行;

(7)读入正常的HZG.COM文件并使之获得控制权;

此时,病毒X驻入系统的内存,开始监视系统的运行、当它发现被传染的目标时,做如下工作:

(1)读入HZG.COM前的特定地址信息(标识位)进行判断;

(2)满足条件,则利用中断INT 13H(磁盘读/写)将病毒与HZG.COM文件链接,并存入目标中;

(3)定成传染,继续监视系统的运行。

对病毒与文件的尾部连接情况而言,则病毒正传染过程中在正常的目标前头设置一条或几条JMP指令,使程序开始运行,即指向病毒程序,使其正常文件运行前首先运行了病毒程序,其传染与其上类似。

提示:试试键盘 “← →” 可以实现快速翻页 

一键看全文

本文导航

相关阅读

每日精选

点击查看更多

首页 手机 数码相机 笔记本 游戏 DIY硬件 硬件外设 办公中心 数字家电 平板电脑